サイバー犯罪者は戦術を絶えず改良しており、Androidマルウェアはより巧妙で検出が困難になっています。偽の NextGen mParivahan マルウェアは、以前のバージョンの欺瞞戦略を踏襲しながらも、大幅な機能強化を導入して登場しました。
以前、攻撃者は政府の交通通知システムを悪用してマルウェアを拡散させ、公式の交通違反警告を装った偽メッセージを送信していました。これらのメッセージには、違反切符番号や車両登録情報といった詳細情報が含まれており、正規のメッセージのように見せかけ、ユーザーを騙して悪意のあるアプリをダウンロードさせていました。インストールされると、アプリは広範な権限を要求し、アイコンを隠し、SMSメッセージなどの機密データを密かに盗み出し、Telegramボットを介して攻撃者と通信していました。
この最新の亜種では、マルウェアは「NextGen mParivahan」を装い、政府の公式アプリを模倣して拡散されています。拡散方法は以前と同じで、偽の交通違反メッセージを利用してユーザーを誘導し、悪意のあるアプリをインストールさせています。
道路運輸省が開発した公式NextGen mParivahanアプリは、運転免許証、車両登録証明書、その他の交通サービスへのデジタルアクセスを提供します。Google Playストアで入手可能なこのアプリは、以前のmParivahanアプリに代わり、機能とユーザーエクスペリエンスが向上しています。
しかし、サイバー犯罪者はアプリのブランド変更によってもたらされた機会を捉え、 「NextGen mParivahan」 ユーザーを欺くために、マルウェアの名前を偽装しています。この最新亜種では、SMS窃取機能はそのまま維持されています。その範囲は大幅に拡大し、ソーシャルメディア、コミュニケーションアプリ、eコマースアプリからのメッセージを標的としており、ユーザーのプライバシーに対する脅威がさらに深刻化しています。
さらに、一部のサンプルは、C2(コマンドアンドコントロール)の詳細をコンパイル済みの.soファイル内に隠蔽し、実行時に動的に生成することで、よりステルス性の高いC2メカニズムを採用しています。このアプローチは、検出と分析を非常に複雑にします。一部のサンプルは、セキュリティ対策をさらに妨害するために意図的に改ざんされており、多段式のドロッパーペイロードアーキテクチャを活用して、シグネチャベースおよびヒューリスティックな検出システムを回避しています。
以前のブログでは、以前のバージョンの感染経路と通信戦術を分析しました(ご注意ください!政府の警報を装った悪質なAndroidマルウェア)。これらの最新亜種は、それらの機能を維持するだけでなく、拡張し、ステルス性とデータ窃盗能力の両方を高めています。
このブログでは、この新しい亜種がどのように動作するのか、そしてなぜその新たな機能強化によって Android ユーザーにとってさらに大きな脅威となるのかを説明します。
テクニカル分析:
新しいバージョンには 2 つの亜種が見つかりました。XNUMX つは不正な多段ドロッパー ペイロード アーキテクチャを利用するもので、もう XNUMX つは他のアプリから通知データを盗みながら、よりステルス性の高い CXNUMX 抽出方法を採用するものです。
-
不正な多段ドロッパーペイロード
| 第一段階 – ドロッパー | 第2段 – ペイロード | |
| ファイル名 | 電子チャランレポート | パリヴァハン |
| MD5 | ad4626eff5238ce7c996852659c527bc | ae1f49bd14027c7adea18147cb02f72a |
| アプリ名 | NextGen mParivahan | NextGen mParivahan |
| パッケージ名称 | com.xyz.ドロッパー | com.example.icici |
分析回避技術
マルウェア作成者は、静的解析を妨害するために、これらのドロッパーとペイロードAPKを意図的に作成しました。多くのオープンソースのAndroid APK解析ツールはこのAPKを処理できなかったため、解析はより困難になりました。以下をご覧ください。
ApktoolはAPKの逆コンパイルに失敗しました-
Jadxは逆コンパイルに失敗しました –
Androguardは逆コンパイルに失敗しました –
バイトコードビューアが逆コンパイルに失敗しました –
7zipでもAPKファイルの抽出に失敗しました –
AndroidビルドツールAAPT(Android Asset Packaging Tool)とAAPT2(Android Asset Packaging Tool)もAndroidManifest.xmlファイルをダンプできません。
さらに、この不正な APK ファイルは、XML ファイルが破損しているため、Android 8.1 以前のバージョンではインストールに失敗します。これは、OS がそれ以降の Android バージョンのようにそれを抽出できないためです。
これらのツールで表示されるエラーは、いずれもサポートされていない圧縮方式、つまりAPKファイルが無効な圧縮技術を使用していることを示しています。しかし、AAPTとAndroid OS 8.1(APIレベル27)は、サポートされていない圧縮方式とは関係のないAndroidManifest.xmlの破損エラーを報告します。しかし、不正な形式のAPKは、Android OS 9(APIレベル28)以降を搭載したAndroidデバイスとエミュレーターでは問題なくインストールされ、スムーズに動作します。
Android OS (9+) でこの APK を実行すると分析ツールが失敗するのはなぜですか?
APKファイルは基本的にZIPアーカイブです。以下はそのヘッダー形式です。オフセット08と09の値は、ZIPファイルで使用されている圧縮方式を示しています。
Android APK ファイルは ZIP 形式に準拠しており、通常は次の 2 つの圧縮方法が使用されます。
- 保存(圧縮なし) – 事前に最適化されたバイナリや一部のアセットなど、圧縮を必要としないファイルに使用されます。
- 圧縮(標準圧縮) – リソース、XML ファイル、その他の実行不可能なコンテンツを圧縮するために最もよく使用される方法です。
ほとんどのAPKファイルで使用されている圧縮方法 –
この不正なドロッパーAPKファイルで使用されている圧縮方法は、DeflateでもStoreでもありません。値は0x1998(6552進数でXNUMX)で、ZIP形式ではサポートされていません。
- すべての解析ツールはZIP形式に厳密に準拠しており、圧縮方式はDeflateまたはStoreのみを想定しています。しかし、Android OSは圧縮方式がDeflateかどうかのみをチェックします。Deflateでない場合は、OSはStore(つまり、圧縮されていない)であると想定します。
- Android 9では、Android 8とは異なるモノリシックアプリの解析方法が導入されました。この新しい実装では、アセットへのアクセスが別の方法で処理されます。その結果、Android 8以前のバージョンでマニフェスト破損エラーを引き起こしていた特定のAPKは、Android 9ではこの問題に遭遇しなくなりました。
AndroidManifestファイルの抽出とデコード
APKのZIP構造を解析し、生のAndroidManifest.xmlファイルを抽出するスクリプトを作成しました。このスクリプトは、セントラルディレクトリを特定し、AndroidManifest.xmlファイルを見つけ、圧縮の詳細と生データを抽出します。そして、Androguardを使用して、抽出した生のAndroidManifest.xmlファイルを読み取り可能なXML形式にデコードします。
以下は、Dropper APK のデコードされた AndroidManifest.xml です。インストール済みアプリの一覧を表示するための QUERY_ALL_PACKAGES 権限と、ペイロードアプリケーションをインストールするための REQUEST_INSTALL_PACKAGES 権限を要求しています。
以下は、Payload APK のデコードされた AndroidManifest.xml です。SMS メッセージへのアクセスと送信に、RECEIVE_SMS、READ_SMS、SEND_SMS などの機密性の高い権限を要求しています。
マルウェア実行
起動後、ドロッパーアプリケーションはユーザーにアプリのアップデートを促します。「アップデート」をクリックすると、提供元不明のアプリのインストール許可を求められます。許可されると、ドロッパーと同じアイコンを持つペイロードAPKがインストールされますが、アプリドロワーからはアイコンが非表示になります。
ユーザーがmParivahanアプリのアイコンをクリックすると、Payloadアプリが起動します。まず、SMSと通話の許可を求めます。次に、チャラン(納税申告書)のステータスを確認するために、車両番号と電話番号の入力を求めるページが表示されます。次に、PhonePe、Google Pay、またはPaytmで1ルピーの支払いを促し、支払いPINの入力を求められます。取引が完了すると、「支払いが完了しました。30分お待ちください。デバイスからアプリを削除しないでください」という確認ページが表示されます。
しかし、このアプリは入力された情報をバックグラウンドで盗み出し、Firebaseデータベースに保存します。また、SMSアクセス権限を持っているため、受信したSMSデータもキャプチャしてFirebaseにアップロードします。
-
よりステルス性の高いネイティブC2抽出および通知スティーラー
| ファイル名 | NextGen mParivahan.apk |
| MD5 | 8bf7ea1c35697967a33c0876df5f30b9 |
| アプリ名 | NextGen mParivahan |
| パッケージ名 | com.sakurai.endo3798132 |
起動すると、2つ目の亜種はSMSと通話管理の権限を要求します。次に、ユーザーに通知へのアクセスを許可するよう促します。必要な権限をすべて取得すると、電話番号の入力を求められます。ユーザーが「続行」をクリックすると、Googleのホームページが開き、アイコンが非表示になります。
通知データにアクセスできるマルウェアは、通知を継続的に監視します。新しい通知が投稿されるたびに、そのデータをキャプチャしてC2サーバーに送信します。
このマルウェアアプリケーションは、通知窃取の対象となるアプリのリストを保持しています。対象となるアプリには、WhatsApp、Facebook、Amazon、Zomato、Telegram、Google メッセージ、Gmail などが含まれます。
ネイティブコードからのC2抽出
マルウェアは実行時にC2サーバーのURLを動的に生成し、プレーンテキストでの保存を避けて検出を回避します。下の図はJavaセクションのコードで、SecreatHevenクラスがネイティブライブラリのロードを担当しています。 「libbunnycoban.so」 ネイティブ関数の定義。ここで、bunnylovesCarrot() 関数はC2サーバのURLを返します。さらに、hiddendandelion() と SecreatAcron() という2つの関数があり、IP情報サービスのURLとIP情報トークンを返します。これらの関数はコードの他の部分では参照されていないため、マルウェアはCXNUMXサーバの生成時にこれらの関数を使用する可能性があります。
以下は、.so ファイルから C2 サーバーを生成するコードを示すコード スニペットです。
ログには、このマルウェアが使用するC2サーバーが明確に示されています。
どちらの亜種も、以前のバージョンと同様にSMSを窃取する機能を備えています。SMSデータにアクセスし、抽出したC2サーバーまたはFirebaseに送信します。さらに、永続性を確保するためにブートローダーにブロードキャストレシーバーを実装しており、これによりデバイスの起動後にアプリケーションがバックグラウンドで起動できるようになります。
MITRE ATT&CKの戦術とテクニック:
Androidマルウェアのクイックヒーリング検出
Quick HealはAndroid.Spyagent.Aの亜種を使用してこのような悪意のあるアプリケーションを検出します。
このような脅威を軽減し、保護を維持するために、すべてのモバイルユーザーには「Quick Heal Mobile Security for Android」のような信頼できるウイルス対策ソフトのインストールをお勧めします。当社のウイルス対策ソフトは、ユーザーがモバイルデバイスに悪質なアプリケーションをダウンロードするのを防止します。Android向けの保護ソフトをダウンロードしてください。 こちら
まとめ:
このマルウェア亜種は、サイバー犯罪者が検出を回避し、より多くのユーザーデータを窃取するために、いかにして技術を進化させ続けているかを示しています。不正なAPK、動的なC2生成、そして分析回避手法を駆使することで、従来のセキュリティツールによる悪意ある活動の特定はますます困難になっています。さらに、通知、SMS、そしてアプリの機密データへのアクセス能力は、ユーザーのプライバシーにとって重大なリスクをもたらします。
しかし、脅威が進化するにつれて、分析手法も進化しています。セキュリティソリューションと脅威インテリジェンスの取り組みは、難読化戦略、動的分析、高度な脅威ハンティングアプローチを深く掘り下げることで、検出技術を向上させています。セキュリティ意識の強化、アプリのインストールには信頼できるソースの利用、そして最新の分析ツールの導入は、これらの新たな脅威に対抗するために不可欠です。
IOC
URL:
https://cyberdefensetech.cc/
デジタルで安全を保つためのヒント:
- アプリケーションは信頼できるソースからのみダウンロードしてください。 Googleが店を再生します。
- メッセージやその他のソーシャル メディア プラットフォームを通じて受信したリンクは、意図的または不注意により悪意のあるサイトにつながる可能性があるため、クリックしないでください。
- 新しい権限を受け入れたり許可したりする前に、Android システムからのポップアップ メッセージを読んでください。
- マルウェア作成者は元のアプリケーションの名前、アイコン、開発者の詳細を簡単に偽装できるため、携帯電話にダウンロードするアプリケーションには十分注意してください。
- 携帯電話の保護を強化するには、常に優れたウイルス対策ソフトを使用してください。 Android 向け Quick Heal モバイル セキュリティ。
待ってはいけません! 今すぐクイックヒールトータルセキュリティでスマートフォンを守りましょう。 今すぐ購入または更新しましょう!
